Законы Мерфи о цифровой безопасности

Некоторые из широко известных законов на нашу любимую тему
Аватар - Анастасия Рыкова
Анастасия Рыкова
ВРЕМЯ НА ЧТЕНИЕ 9 МИН
17 сентября 2024
Скачать в PDF

История законов Мерфи начинается в 1949 году на базе ВВС США в Калифорнии. Ученые и военные изучали воздействие резкого торможения на человеческий организм. Инженер-исследователь капитан Эд Мерфи обнаружил, что техник в лаборатии неверно смонтировал один из важных датчиков, из-за чего тот постоянно сбоил. Раздосадованный капитан красочно выразился по адресу злополучного техника: «Если существует хоть какой-то способ сделать что-либо неправильно, так он и сделает». Руководитель проекта Джордж Николс включил эту фразу в отчет, потом она прозвучала на пресс-конференции и стала крылатой. С тех пор родилось множество вариаций на тему этого шутливого закона. Они с долей юмора описывают процессы в программировании, инженерии, производстве, преподавании, бизнесе, туризме и т.д. Теплица предлагает свою версию законов Мерфи в области цифровой безопасности.

Закон Мерфи
Если инцидент безопасности может произойти, он произойдет.

Постулат Хеллера
Главный миф цифровой безопасности состоит в том, что она существует.

Закон Менкена-Гроссмана
Любые задачи в области цифровой безопасности имеют простые, легкие для понимания неправильные решения.

О безопасности командной работы

Принцип Джонсона
Никто в точности не знает, какова ситуация с безопасностью в конкретной команде.

Принцип Питера
В любой команде каждый участник стремится достичь своего максимального уровня уязвимости.

Следствие
Со временем за каждую работу будет браться человек, который достаточно уязвим, чтобы поставить под удар всю работу.

Второй закон Паркинсона
Уязвимости команды всегда стремятся превзойти ее ресурсы.

Второй закон термодинамики Эверитта
Риски в команде постоянно растут. Только очень упорным трудом можно несколько их снизить. Однако сама эта попытка приведет к росту совокупности рисков.

Закон Алмейдо
Просвещенный новичок, впервые столкнувшийся с инцидентом безопасности, уверен в том, что делает. Стреляный воробей, проработавший в НКО или СМИ хотя бы несколько лет, уже ни в чем не уверен.

Закон секретности Накамура
Если вы провели закрытое совещание по особо конфиденциальному вопросу, приняли решение и договорились ради безопасности ничего не записывать, на следующий день все участники разговора озвучивают разные варианты этого решения.

Правило Вышковского
Независимо от языка, на котором общаетесь вы и вся ваша команда, новый сисадмин использует собственный таинственный и пугающий язык.

Закон больших задач Хоара
Внутри каждого маленького сисадмина сидит Алан Тьюринг, пытающийся пробиться наружу.

Закон Эванса-Бьерна
Какой бы инцидент безопасности ни произошел, в команде найдется тот, кто все понял раньше вас.

Закон Ли
В любой команде, которая договорилась об использовании шифрования, находится тот, кто не может прочесть шифрованные сообщения остальных.

Дополнение Хирвонена
Этот человек убедит всех остальных не пользоваться шифрованием.

Закон Кларка
Каждая мера безопасности, которую вы предлагаете в команде, вызывает три стадии ответной реакции коллег:

  • «Слишком трудно, неинтересно и бесполезно для команды».
  • «Идея, может, и ничего, но кто будет этим заниматься?»
  • «Я всегда говорил, что это надо было сделать».

О правилах безопасности

Наблюдение Лебланка
Все правила безопасности делятся на четыре категории:

  • То, что и так у нас работает (вроде бы). 
  • То, что мы раньше пробовали, но не прижилось.
  • То, что слишком дорого и неудобно.
  • То, что мы обязательно используем, но потом (после конференции, сдачи отчета, сезона отпусков и т.д.)

Правило Рачицкой
Никто в точности не знает, соответствует ли то или иное действие политике безопасности. 

Закон Генри
Hи одно тщательно сформулированное условие политики безопасности в реальных условиях не работает так, как ожидалось.

Дополнение
Чем больше деталей в политике безопасности, тем меньше их будет использовано в реальности.

Закон де Бри
Самый важный пункт в политике безопасности имеет наименьший шанс быть выполненным.

Закон Мендосы
Если политику безопасности планируется обновить в течение недели, на это уйдет не меньше двух месяцев. Если обновления планируются в течение двух месяцев, они не происходят никогда. 

Универсальные законы кризисного протокола

  • Любая ошибка, которая может оказаться в кризисном протоколе, там окажется.
  • Любая ошибка в кризисном протоколе будет нацелена на причинение наибольшего вреда.

О паролях

Закон Фотелли
Пароль, который вы надежно запомнили, со временем забудется.

Следствие 1
Именно этот пароль вы нигде не записали.

Следствие 2
Это будет мастер-пароль от вашей базы паролей.

Закон Гарфилда
Если у человека есть кот, его кличка становится частью пароля.

Дополнение
Для смены пароля такому человеку необходимо сначала завести нового кота.

Закон ван Хильке
Если пароль от админки корпоративного сайта «на всякий случай» знает N человек (включая админа), число N стремится превзойти число всех членов команды.

Закон Блуменштейна
О резервных кодах для двухфакторной аутентификации пользователь узнает только после того, как потерял смартфон с генератором кодов.

Закон Доу
Если увольнение члена команды сопровождается конфликтом, вероятность того, что этот человек унесет с собой пароли и ключи доступа от чего-то важного, прямо пропорциональна серьезности конфликта. 

О резервном копировании

Постулат Горнера
Опыт в создании резервных копий растет прямо пропорционально потерянным данным.

Парадокс Мескимена
Всегда не хватает времени, чтобы сделать резервную копию, но на восстановление данных из отдельных кусочков время находится.

Правила взаимозависимости Ричарда
Старую резервную копию файла можно удалить. Как только вы ее удалите, окажется, что это был единственный экземпляр файла.

Закон Сингха
После того, как резервную копию упаковали в архив, зашифровали и отправили в облако, а архив удалили с диска, выясняется, что забыли добавить еще один важный файл.

Дополнение
Если скачать архивированную резервную копию обратно на диск, расшифровать и попытаться добавить к ней забытый файл, окажется, что он уже есть в архиве.

О вирусах и фишинге

Постулат Джилба
Антивирусы ненадежны, но люди еще ненадежнее.

Законы антивируса

  • Любая антивирусная база устарела.
  • Всякий бесплатный антивирус на поверку оказывается платным.
  • При работе антивирус стремится занять как можно больше оперативной памяти.
  • Между двумя антивирусами всегда возникает конфликт.
  • Вероятность срабатывания антивируса обратно пропорциональна разрушительной способности вируса.

Закон Кавасаки
Если всех коллег обучили распознавать фишинг, на фишерское письмо ответит тот, кто в дни обучения болел.

Закон Абуладзе
Если вам приходит важное сообщение из налоговой инспекции с предложением пройти по ссылке и вы щелкаете по этой ссылке, вы становитесь жертвой фишинга. Если вы говорите себе «ага, фишинг!» и не щелкаете по ссылке, впоследствии оказывается, что это было реальное сообщение из налоговой инспекции.

О мессенджерах

Закон Марлинспайка
У всякого мессенджера есть недостаток, который не позволяет назвать этот мессенджер действительно безопасным.

Первый закон Дурова
В соревновании мессенджеров по безопасности приз пользовательских симпатий получает тот мессенджер, у которого красивее стикеры.

Второй закон Дурова
Когда у человека есть выбор между обычным и секретным чатом Telegram, он выбирает обычный чат.

Следствие
Никто без принуждения не использует секретные чаты Telegram.

Закон Стояновича
Чем более сенситивную информацию вы обсуждаете с коллегами в мессенджере, тем выше вероятность, что автоматическое удаление окажется выключенным.

Закон Мюллера
Самые важные детали в беседе по мессенджеру с другим человеком исчезают благодаря функции автоудаления.

Следствие 1
В 50% случаев вы не знаете, о чем разговор.

Следствие 2
В 20% случаев вы не понимаете, с кем говорите.

О флешках

Закон своенравия флешки
Нельзя вставить флешку в USB-порт с первого раза.

Закон Римкуса
Если вам нужно отыскать файл на одной из нескольких флешек, он окажется на последней флешке.

Закон потерянной флешки
Потерянная флешка обнаруживается только после того, как вы купили ей замену.

Закон Филипса
Если на флешку нужно записать N гигабайт данных, свободного места на ней окажется N-1 гигабайт.

Дополнение Эль Халида
Если попытаться освободить пространство и удалить файлы, суммарная ценность удаленных файлов будет превышать суммарную ценность файлов, которые предстоит записать на флешку.

Закон Мурадовой
Если флешка повреждена, но поддается частичному восстановлению, вы сможете восстановить лишь самые ненужные файлы.

Закон Юханссона
Если флешка снабжена колпачком, он будет потерян.

Закон Энтони
Уроненная флешка (карта памяти, SIM-карта) отскакивает и падает в наиболее темное и труднодосягаемое место.

Дополнение
Когда вы обнаруживаете это место, выясняется, что именно там ранее пролили что-то липкое с неприятным запахом.

О смартфонах

Первый закон смартфона
Смартфон падает так, чтобы нанести наибольший ущерб.

Следствие Дженнинга
Вероятность того, что смартфон упадет в лужу, прямо пропорциональна стоимости смартфона.

Следствие Клипштейна
В лужу роняют тот смартфон, на котором больше всего невосполнимых данных.

Наблюдение Варданяна
О том, что смартфон почти разрядился, узнаешь перед выходом из дома.

Дополнение
В этом случае вероятнее всего, что пауэрбанк окажется полностью разряжен.

О прослушке

Закон прослушки
Вы никогда не знаете наверняка, прослушивают вас или нет.

Следствие 1
Если вам кажется, что вас могут и не прослушивать, вас, скорее всего, прослушивают.

Следствие 2
Так или иначе прослушивают всех.

Парадокс Вебера
Сотрудника, который убеждает остальных пользоваться шифрованием, коллеги называют параноиком. Сотрудника, который рассказывает, что за ним следят, потому что он иногда ощущает странные щелчки то ли в телефоне, то ли в собственном ухе, коллеги внимательно слушают и относятся к нему с пониманием и уважением.

Наблюдение Матца
Вывод о скрытом наблюдении спецслужб приходит в тот момент, когда вы устали искать причину ваших проблем со связью.

Об обучении цифровой безопасности

Закон Х.Л.Менкена
Кто умеет учиться – учится правилам безопасности. Кто не умеет учиться – учит других.

Дополнение Мартина
Кто не умеет учить – руководит.

Закон лаборатории Фетта
Если на учебном семинаре вы попробовали какую-то программу и все сработало как по маслу, не пытайтесь это повторить в обычной жизни.

Закон Сигейта
Если на учебном семинаре тренер предупреждает не шифровать системный диск «здесь и сейчас», найдется участник, который примется шифровать свой системный диск «здесь и сейчас».

Правила коэффициентов для вебинаров по цифровой безопасности

  • Вероятность того, что на вебинаре вам расскажут то же, что на предыдущем вебинаре, следует умножать на 2.
  • Позитивные ожидания от вебинара следует умножать на 0.5.
  • Вероятность реальных изменений к лучшему после вебинара следует умножать на 0.25.

Закон Барнаби
Всякое руководство по безопасности устарело. 

Закон объемов Олафссона
Любое руководство по безопасности длиннее, чем может осилить читатель.

Дополнение Ренье 
Самая важная информация остается непрочитанной.

Законы Грабовского

  • Любую инструкцию читатели хотят видеть в формате карточек.
  • Любые карточки читатели хотят видеть в формате чеклиста.
  • Любой чеклист читатели хотят в виде одной волшебной кнопки «чтоб стало безопасно». 

Закон релевантности Роя
Ни одно описание инцидента безопасности не повторяет в точности то, с чем вы сталкиваетесь в реальной жизни.

Следствие
Та деталь, которая отличает реальную историю от описания, является самой важной.

Прочие законы Мэрфи

Теорема Стокмайера
Если кажется, что проблему с безопасностью устранить легко, это непременно будет трудно. Если на вид проблема сложная, значит, за один день вы ее точно не устраните.

Следствие Боярского
Никакую проблему нельзя устранить за один день.

Закон Валлентайна
Данные, которые считаются строго конфиденциальными, все равно становятся известными случайному человеку.

Закон Рибейро
Любой аккаунт, который может быть настроен неправильно, будет настроен неправильно.

Закон тревожной кнопки
Если тревожная кнопка может быть нажата случайно, именно так она и будет нажата.

Закон Джонсона и Лэрда
DDoS-атака обычно начинается в ночь на субботу.

Закон обновлений Windows
Windows показывает экран «Не выключайте компьютер…» в тот момент, когда компьютер нужно срочно выключить, взять с собой и куда-то ехать.

Закон Роскомнадзора
РКН блокирует именно тот VPN-сервис, которым вы начали пользоваться вчера.

Правило пролитого кофе
Кофе ищет путь к ноутбуку.

Закон кошачьей подлости
Если вы отлучились, а кот забрался на клавиатуру, то как бы быстро вы ни вернулись, кот успеет разослать загадочную абракадабру всем вашим подписчикам.

Правила Спарка для желающих стать настоящими авторитетами в теме цифровой безопасности

  • Наклейте на ваш ноутбук несколько стикеров с международных конференций по компьютерам, сетям и безопасности.
  • Используйте больше таинственных сокращений и слов типа «хеширование».
  • При случае сообщайте людям, что вы вообще-то работаете на Linux.
  • Держите наготове несколько увлекательных историй с началом в таком духе: «Сидели мы как-то за кружкой пива с разработчиками Tor…»
  • Если у вас в руках хоть раз внезапно заработало сломанное оборудование или глючная программа, поддерживайте миф о том, что «техника вас боится».
  • Не спорьте. Если попали в трудное положение, спросите оппонента, помнит ли он, какой мессенджер занимал третью строчку по критериям безопасности Secure Messaging Scorecard в 2014 году. Пока ваш оппонент пытается сообразить, к чему бы это, быстро меняйте предмет разговора.
  • На любой вопрос о цифровой безопасности отвечайте с загадочным видом: «Это зависит от вашей модели угроз». 
  • Время от времени намекайте людям, что пишете сложную статью о сравнительной безопасности различных моделей искусственного интеллекта. Это одновременно покажет вас как современного глубокого специалиста и объяснит ваши бессвязные реплики.